WAN 上の MACsec(Media Access Control Security)

MACsec セッションを確立するには、MACsec Key Agreement(MKA)を使用して、ピア ノード間で必要なキーを交換します。MKA PDU は、トランスポート プロトコルとして Extensible Authentication Protocol over LAN (EAPoL) を使用して送信されます。EAPoL はレイヤー 2 プロトコルであり、通常はスイッチまたはルーターによってローカルに処理され、それ以上伝播されることはありません。

ノードがサービスプロバイダのネットワークを介して接続されている場合、これは課題となります。 図1 は、サービスプロバイダのネットワークで伝送されるMACsecを示しています。MKA は、顧客デバイス A と B 間でキーを交換する必要があります。エッジ ルーター(中間デバイス)は、EAPoL パケットを処理してはいけません。代わりに、ネクストホップに透過的に転送する必要があります。

EAPoL パケットのデフォルトの宛先 MAC アドレスは、マルチキャストアドレスです。サービス プロバイダ ネットワークでは、パケットがサービスプロバイダ向けのものであると仮定して、これらのパケットを消費するデバイスが存在する可能性があります。EAPoL は 802.1X やその他の認証方法で使用され、デバイスの設定によってはパケットをドロップする場合があります。これにより、MKA セッションが失敗します。EAPoL パケットが正しい宛先に確実に届くように、宛先 MAC アドレスを変更して、サービス プロバイダ ネットワークがパケットを消費せずにトンネリングするようにします。

VLAN レベルの MACsec により、1 つの物理ポート上で複数の MKA セッションが可能になります。これにより、サービスプロバイダのWAN上でポイントツーマルチポイント接続のMACsec暗号化によるサービス多重化が可能になります。

VLAN レベルの MACsec をサポートするために、MKA プロトコル パケットは論理インターフェイスに設定された VLAN タグを使用して送信されます。VLANタグはクリアテキストで送信されるため、MACsecを認識しない中間スイッチは、VLANタグに基づいてパケットを切り替えることができます。

MACsecを設定する場合、接続の関連付けをインターフェイスにバインドする必要があります。VLAN レベルの MACsec を有効にするには、次のコマンドを使用して、接続の関連付けを論理インターフェイスにバインドします。

設定の詳細については、「 静的 CAK モードでの MACsec の設定」を参照してください。